16 medidas essenciais, com baixo investimento, para implementar na adequação do seu negócio à LGPD

Carla Oliveira Ribeiro*

Não se pode ignorar que, sendo o Brasil um país de dimensões grandiosas e que não possui uma cultura de proteção de dados, a adequação à LGPD pode ser considerada um desafio de proporções gigantescas. 

Desde que iniciou sua vigência, em 2020, a LGPD – Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018), certamente, é um dos assuntos mais debatidos em muitas rodas de conversas, em especial as do meio empresarial, jurídico e de segurança da informação. Os questionamentos vão desde processos e procedimentos necessários para realização da adequação à LGPD até os custos envolvidos para promover uma adequação que esteja de acordo com os ditames legais.

Nesse sentido, com a quantidade de informações disponíveis gratuitamente na internet, o impacto financeiro não pode, em sua totalidade, ser  utilizado como impeditivo para que não sejam aplicadas medidas que promovam a proteção de dados pessoais. Contudo, por óbvio, nem todas as informações disponíveis na internet são corretas e devem ser implementadas. 

Como promover a cultura de proteção de dados com 16 medidas

Deste modo, este artigo visa trazer uma lista com 16 medidas importantes que possuem um baixo investimento, mas que, ao serem adotadas em seu negócio, são capazes de proporcionar uma segurança maior no que se refere à proteção de dados pessoais. Veja:

1. ANALISE a Lei Geral de Proteção de Dados (Lei 13.709/2018) para entender o que deve ser considerado no tratamento de dados pessoais.

2. IDENTIFIQUE e ORGANIZE os dados pessoais tratados. Verifique como ocorre o fluxo de entrada, tratamento e saída dos dados e hierarquize essas informações, sempre levando em consideração quais dados são mais importantes e merecem prioridade de atenção (como, por exemplo, os dados sensíveis e os sobre crianças e adolescentes).

3. IDENTIFIQUE os pontos de possíveis riscos no tratamento como vulnerabilidades, vazamentos e falhas de segurança. Agora, ADOTE medidas que possam extinguir ou, pelo menos, minimizar a ocorrência dos riscos apontados.

4. INFORME ao titular, antes de efetuar o tratamento, as finalidades da ação, os dados coletados e quem possui acesso a esses dados. Deixe claro os direitos que o titular possui quanto a proteção de seus dados, inclusive no que se refere a possibilidade de correção e exclusão das informações armazenadas.

5. COMPREENDA que o titular dos dados tem direito a se opor ao tratamento de seus dados pessoais. Contudo, o tratamento poderá ser continuado caso sejam demonstradas razões legítimas e imperiosas que prevaleçam sobre os interesses e os direitos do indivíduo; ou caso os dados sejam necessários para declaração, exercício ou defesa de um direito num processo judicial.

6. DIVULGUE de forma clara e atualizada, em site ou outro veículo de fácil acesso, as hipóteses em que, no exercício de suas competências, trata dados pessoais, e a previsão legal, os procedimentos e as práticas utilizadas.

7. RESPONDA às demandas do titular dos dados com agilidade. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular: em formato simplificado, imediatamente; ou por declaração clara e completa, fornecida no prazo de até 15 dias, e que indique origem dos dados, critérios utilizados, finalidade do tratamento (observados os segredos comercial e industrial).

8. FAÇA a gestão dos dados dos titulares dos dados. Em caso de negativa de solicitações realizadas pelo titular a respeito de seus dados, este, além de ter o direito de saber os motivos da rejeição, poderá fazer uma reclamação à ANPD e/ou ajuizar uma ação judicial.

9. ADAPTE e REVISE procedimentos e formulários, habilitando meios digitais e/ou formas mais ágeis para atender ao titular dos dados em demandas que tratem de solicitações sobre os dados pessoais que estejam sendo tratados.

10.  ELABORE medidas técnicas, contratos, processos, políticas e normas que estejam de acordo com as novas diretrizes da LGPD e lembre-se de REVISAR e ADEQUAR os documentos, sistemas e bancos de dados já existentes, incluindo contratos com fornecedores e clientes;

11.  UTILIZE tecnologias e processos para proteger a privacidade e os dados dos titulares. Você pode utilizar recursos como a criptografia, anonimização, pseudoanonimização, minimização de dados e segurança por padrão.

12.  IMPLEMENTE controles processuais e tecnológicos de segurança; monitoramento e adequação dos sistemas, prevendo a correção de vulnerabilidades e minimização de dados; plano de gestão de vulnerabilidades; e resposta a incidentes.

13.  CONSCIENTIZE e TREINE seus colaboradores para entendimento, alinhamento e operacionalização da forma como realizam seus serviços, tendo em destaque a importância da privacidade e proteção dos dados pessoais.

14.  ESTABELEÇA protocolos para gerir e, se for o caso, notificar brechas de segurança e vazamentos de dados. Em caso de risco ou dano relevante aos titulares, a violação deve ser notificada ao titular dos dados e à ANPD, sem demora injustificada.

15.  DEFINA regras de governança e boas práticas que estejam em conformidade com a proteção de dados.

16.  SOLICITE ao titular somente os dados pessoais que sejam necessários à execução de sua atividade, sempre especificando a finalidade de sua solicitação.

*Dica de ouro 

Após a adequação inicial técnica e organizacional, seu negócio deve manter um monitoramento constante e periódico de processos e medidas de segurança da informação, realizando inovações responsáveis e transparentes, baseadas em regras de governança robustas e boas práticas. Por isso, se possível, opte por contratar um profissional capacitado, com estratégias e procedimentos já consolidados, e não se exponha seus negócios a riscos desnecessários. 

Conclui-se, então, que o processo de adequação à LGPD implica em muito mais do que os custos envolvidos com o projeto. Além dos custos com investimento, o processo de adequação à LGPD exige uma mudança de pensamento do negócio, por meio da criação de uma cultura de proteção de dados que deve partir dos membros da gestão e ser disseminada entre os funcionários, colaboradores e parceiros.

Bibliografia:

https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm – acessado em 06 de novembro de 2022.

GUIA ORIENTATIVO ANPD – SEGURANÇA DA INFORMAÇÃO PARA AGENTES DE TRATAMENTO DE PEQUENO PORTE https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-vf.pdf. Acessado em 06 de novembro de 2022. 

https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca. Acessado em 06 de novembro de 2022.

---

Carla Oliveira Ribeiro: Advogada e Consultora nas áreas de Privacidade e Proteção de Dados, Negociação e Direito Desportivo. Pós-Graduada em: Direito Digital e Proteção de Dados pela Escola Brasileira de Direito; Direito Desportivo, pela Universidade Cândido Mendes; e Direito Negocial e Imobiliário, pela Escola Brasileira de Direito.